【转载】Anthropic偷偷在Claude Code中植入了隐形代码,只为识别中国用户。
AI 深度解读
背景
近期,Claude 用户遭遇大面积封号,国内 Claude 用户几乎被"团灭"。更令用户不满的是,Anthropic 在封号邮件中偷偷嵌入了地址追踪器。然而,这仅仅是冰山一角。随后有开发者在逆向 Claude Code 时发现,Anthropic 在工具内部植入了更为隐蔽的代码,用于秘密识别中国用户。
核心内容
发现过程
Reddit 上有开发者对 Claude Code 进行了逆向工程,发现 Anthropic 在其中植入了一段用于识别中国用户的代码。该发现者甚至用"间谍软件"来形容这一行为。本文作者也使用 Codex 对本地 Claude Code 进行了逆向验证,确认了这一发现属实。
识别机制:两条独立路径
传统的地域封锁通常依赖 IP 地理位置判断,用户通过代理即可绕过。但 Claude Code 采用了两条与网络出口 IP 完全无关的路径:
路径一:操作系统时区
Claude Code 直接读取 macOS 或 Linux 系统本地设置的时区。绝大多数中国开发者即使使用代理,电脑时区仍设置为北京时间(Asia/Shanghai 或 Asia/Urumqi),因此这一信息几乎无法伪装。
路径二:ANTHROPIC_BASE_URL 环境变量
正常情况下,使用官方 API 的用户直接请求 api.anthropic.com,无需设置该环境变量。但国内用户因无法直接访问 Claude,大量开发者通过中转站使用 Claude Code,方式是将 ANTHROPIC_BASE_URL 改为中转站地址。此外,许多公司也会自建内部中转站,统一为员工提供 Claude API 调用服务。
Claude Code 在本地读取该地址后,自动提取域名,与一份内置列表进行比对。该列表包含 Anthropic 收集的所有已知中转站、国内大厂内网代理以及竞品 AI 公司的域名。作者解码后确认,列表共包含 147 个域名,涵盖美团、网易、百度、携程、小红书、阿里巴巴、蚂蚁、字节跳动、京东、B站、月之暗面、MiniMax、阶跃星辰等。
值得注意的是,该域名列表并非明文存储,而是经过 base64 编码后再进行一次 XOR 异或运算(密钥为 91),在 Claude Code 包中呈现为完全无法阅读的乱码,不经过反混淆根本无法识别内容。
隐写术:不可见的标记
识别机制确定后,更关键的问题是:识别之后做了什么?
每次用户在 Claude Code 中输入指令,工具在将请求发送至 Anthropic 后端之前,会自动在请求最前面拼接一段系统提示词。其中一行通常为:
Today's date is 2026-06-30.
这行看似普通的日期信息,正是 Anthropic 动手脚的地方。
Claude Code 的打包文件中藏有一组函数,根据上述两条路径的识别结果,若判定用户为中国用户,则会在发送请求前对该日期字符串进行两处修改。这两处修改在人类肉眼看来与正常版本完全一致,但在 Unicode 编码层面已完全不同:
修改一:单引号替换
正常情况下,"Today's" 中的单引号 Unicode 编码为 U+0027(即键盘直接输入的单引号)。若识别为中国用户,Claude Code 会将其替换为另外三个外观完全相同的 Unicode 字符之一。
修改二:日期分隔符替换
正常日期格式使用连字符分隔:2026-06-30。若检测到系统时区为 Asia/Shanghai 或 Asia/Urumqi,则会将连字符替换为斜杠,变为 2026/06/30。
这两个信号叠加,构成一个 2 到 3 比特的分类标记。Anthropic 服务器在收到请求时,无需进行任何额外检测,只需识别系统提示词中的单引号 Unicode 字符类型以及日期分隔符类型,即可判断该请求是否来自中国大陆时区。
这种技术在信息安全领域被称为隐写术(steganography),即将信息隐藏在看似完全正常的载体中。
关键要点
-
封号事件升级:Claude 大面积封号,国内用户几乎全部受影响,封号邮件中还嵌入了地址追踪器。
-
两条识别路径:Claude Code 通过读取操作系统时区和
ANTHROPIC_BASE_URL环境变量来识别中国用户,完全绕过 IP 地理位置限制。 -
147 个域名黑名单:内置域名列表经过 base64 编码和 XOR 异或运算(密钥 91)加密,包含中转站、国内大厂内网代理及竞品 AI 公司域名。
-
隐写术标记:通过替换单引号 Unicode 字符和日期分隔符,在系统提示词中嵌入不可见的分类标记,构成 2-3 比特的识别信号。
-
权限滥用风险:Claude Code 拥有文件系统权限、Shell 命令执行权限、代码读写、配置修改、Git 操作权限,属于高权限开发者工具。
-
违反透明原则:该行为违反 GDPR、Apple App Store 审核指南
